1 Minute
Google belohnt Schwachstellen-Schnüffler
Google hat sein "Cloud Vulnerability Reward Program" ins Leben gerufen, um Schwachstellen in seinen Clouddiensten proaktiv zu identifizieren und zu beheben. Das Programm richtet sich an White-Hat-Hacker, die potenzielle Sicherheitslücken in Produkten wie Google Kubernetes Engine, Google Compute Engine und weiteren Diensten aufdecken und melden. Je nach Ausmaß der gefundenen Einfallstore winken Belohnungen von bis zu 100.000 US-Dollar.
Teilnehmer des "Cloud Vulnerability Reward Program" können Berichte über gefundene Schwachstellen einreichen, die dann von Google geprüft werden. Voraussetzungen sind unter anderem, dass die Lücke in einem unterstützten Cloudprodukt oder einer relevanten Infrastruktur liegt und dass der Bericht eine nachvollziehbare Reproduktionsanleitung enthält. Google erwartet zudem, dass Forscher verantwortungsbewusst mit den Informationen umgehen und keine Daten von Nutzern manipulieren oder Systeme absichtlich stören. Hinweise zu Schwachstellen reichen Sicherheitsforscher über ein Onlineformular ein.
Die Belohnungen des Programms variieren je nach Schweregrad und Auswirkung der gemeldeten Schwachstelle. Kritische Schwachstellen im Tier-1-Bereich können Prämien in Höhe von bis zu 101.000 US-Dollar einbringen, während kleinere Fehler mit geringeren Summen belohnt werden. Zusätzlich zu Geldprämien bietet Google auch öffentliche Anerkennung für Forscher, die signifikante Beiträge leisten. Für andere Google-Produkte wie Android und Chrome gibt es jeweils eigene Bug-Bounty-Programme.